Introducción
Este documento describe cómo identificar la falla de negociación de Seguridad de la Capa de Transferencia (TLS) cuando STARTTLS está disponible dentro de los comandos EHLO Simple Mail Transfer Protocol (SMTP) y el servidor no cumple con RFC1869.
Antecedentes
TLS está habilitado en el dispositivo de seguridad de correo electrónico (ESA) con un certificado válido. TLS está habilitado en el servidor de destino y STARTTLS se ve cuando se establece una conexión SMTP.
¿Por qué falla la negociación TLS desde el ESA a un servidor de destino a pesar de que STARTTLS está disponible?
El ESA intenta conectarse al servidor de destino con el uso de TLS; sin embargo, la negociación de TLS falla con este error en los mail_logs/Message Tracking del ESA.
Info: DCID xxxxxx STARTTLS command not supported.
Según RFC1869, la primera respuesta a EHLO debe ser ehlo-ok-rsp y ehlo-ok-rsp tiene esta sintaxis y orden:
ehlo-ok-rsp ::= "250" domain [ SP greeting ] CR LF
/ ( "250-" domain [ SP greeting ] CR LF
*( "250-" ehlo-line CR LF )
"250" SP ehlo-line CR LF )
Ejemplo de Conversación SMTP de Sintaxis RFC Incorrecta
220 mail.domain1.com ESMTP Service ready
EHLO ESA.com
250-STARTTLS <--- 250-STARTTLS is before the server greeting.
250-mail.domain1.com <--- This is the 250 destination server greeting.
250-8BITMIME
250-PIPELINING
250-HELP
250-DELIVERBY 300
250 SIZE 30000000
Significa que todo lo que hay antes de que la línea de saludo (250-mail.domain1.com, en este ejemplo) se considere saludo. Por lo tanto, el ESA no considerará el comando 250-STARTTLS disponible y notificará que el comando STARTTLS no es compatible. Consulte https://tools.ietf.org/html/rfc1869 para obtener más detalles.
Ejemplo de Conversación SMTP de Sintaxis RFC Correcta
220 mail-esa.com ESMTP
EHLO connecting.server.com
250-mail-esa.com <--- This is the 250 destination server greeting.
250-8BITMIME
250-SIZE 33554432
250 STARTTLS <--- STARTTLS is available after the greeting, it's not considered a greeting as per RFC.
Información Relacionada
Comentarios